Platform
wordpress
Component
ecwid-shopping-cart
Opgelost in
7.0.8
CVE-2026-1750 describes a Privilege Escalation vulnerability within the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress. This flaw allows authenticated attackers, even those with minimal permissions like a subscriber, to elevate their privileges and gain store manager access. The vulnerability impacts versions from 0.0.0 through 7.0.7, and a fix is available in version 7.0.8.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om, met minimale WordPress gebruikersrechten (zoals een abonnee), ongeautoriseerde toegang te krijgen tot de store manager functionaliteit binnen de Ecwid webwinkel. Dit kan leiden tot ongeautoriseerde wijzigingen aan productcatalogi, bestellingen, klantgegevens en andere kritieke winkelgegevens. De impact is aanzienlijk, aangezien de aanvaller de volledige controle over de webwinkel kan overnemen zonder de noodzaak van super administrator rechten op WordPress zelf. Dit is vergelijkbaar met scenario's waarbij een aanvaller via een beperkte rol toegang krijgt tot gevoelige backend functionaliteit.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is toegevoegd aan het CISA KEV catalogus. De publicatiedatum is 2026-02-15.
Websites utilizing the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress, particularly those with a large number of subscriber-level users or those who have not implemented robust user role management practices, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially lead to lateral movement and exploitation of other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'ec_store_admin_access' /var/www/html/wp-content/plugins/ecwid/includes/user-profile.php• wordpress / composer / npm:
wp plugin list | grep ecwid• wordpress / composer / npm:
wp plugin update ecwiddisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Ecwid by Lightspeed Ecommerce Shopping Cart plugin naar versie 7.0.8 of hoger. Indien een directe upgrade niet mogelijk is (bijvoorbeeld door compatibiliteitsproblemen met andere plugins), overweeg dan tijdelijk de plugin uit te schakelen of de WordPress gebruikersrechten van minder bevoorrechte gebruikers te beperken. Implementeer een Web Application Firewall (WAF) met regels die verdachte parameters in profile update requests blokkeren, specifiek de 'ecstoreadmin_access' parameter. Controleer WordPress logs op ongebruikelijke activiteit gerelateerd aan profile updates.
Update naar versie 7.0.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1750 is a HIGH severity vulnerability affecting the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress. It allows attackers with subscriber permissions to gain store manager access due to a missing capability check.
You are affected if you are using Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress versions 0.0.0 through 7.0.7. Upgrade to 7.0.8 or later to mitigate the risk.
The recommended fix is to upgrade the Ecwid plugin to version 7.0.8 or later. If immediate upgrade is not possible, restrict user permissions to limit the potential impact.
There is currently no evidence of active exploitation in the wild, but the vulnerability has been added to the CISA KEV catalog, indicating a potential risk.
Refer to the official Ecwid security advisory for detailed information and updates: [https://www.ecwid.com/security/advisories](https://www.ecwid.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.